Управлять сетями
Создать сеть
-
В html5-консоли перейдите в раздел Networking на вкладку Networks.
-
Нажмите кнопку New (запустится мастер создания сети).
-
На шаге Network Type выберите тип создаваемой сети Routed:
- Isolated — сеть без возможности выхода в интернет (без подключения к локальному Edge);
- Routed — сеть с возможностью выхода в интернет (подключается к локальному Edge, при правильной настройке Firewall и NAT (SNAT см. ниже) на Edge появляется выход в интернет).
-
На шаге Edge Connection выберите нужный edge-маршрутизатор и тип интерфейса (Interface Type) Internal.
-
На вкладке General заполните:
- имя сети (Name), например, Test-Network;
- шлюз (Gateway CIDR) в формате CIDR (Classless Inter-Domain Routing – формат, в котором указывается IP адрес и количество бит маски подсети), например:
10.10.1.1/24
. Shared – разрешает использование данной сети в других виртуальных дата-центрах в рамках одной организации.
-
На шаге Static IP pool введите диапазон адресов, которые в дальнейшем будут автоматически присваиваться вашим виртуальным машинам. Ввод должен осуществляться в формате xxx.xxx.xxx.xxx — yyy.yyy.yyy.yyy, где xxx.xxx.xxx.xxx — это начальный адрес подсети, а yyy.yyy.yyy.yyy — конечный IP-адрес подсети. Например, 192.168.10.2 — 192.168.10.22. Для ваших виртуальных машин будут выделяться адреса из указанного пула. Внизу будет указано количество доступных IP (total:20).
-
На шаге DNS при необходимости задайте DNS для вашей сети, например 8.8.8.8. По умолчанию указывается адрес шлюза, но его необходимо отдельно настраивать.
-
Завершите настройку, нажав кнопку Finish.
Посмотреть внешний IP-адрес виртуального дата-центра
- Перейдите в раздел Networking на вкладку Networks.
- Кликните на нужный edge правой кнопкой мыши.
- Выберите Configuration → Gateway Interface. В столбце Primary IP будет указан внешний IP-адрес, а в столбце External Network — имя внешней сети.
Настроить Edges
Для настройки шлюза:
- Перейдите в раздел Networking на вкладку Edge Gateways.
- Кликните на нужный edge.
- Нажмите кнопку Services. Откроется окно с возможностью настраивать Firewall, DHCP и правила NAT.
Настроить правила NAT
NAT (Network Address Translation) — технология преобразования приватных IP-адресов во внешние в IPv4, благодаря которой виртуальная машина получает доступ в интернет. В частной сети используются три блока приватных (серых) IP-адресов, которые не используются в интернете:
10.0.0.0 --- 10.255.255.255/8
(16777216 хостов);172.16.0.0 --- 172.31.255.255/12
(1048576 хостов);192.168.0.0 --- 192.168.255.255/16
(65536 хостов).
Любая организация имеет право использовать частные IP-адреса (также называемые внутренними, внутрисетевыми, локальными или серыми) по своему усмотрению без регистрации у какой-либо организации.
Для выхода в интернет нужен белый IP, который будет “маскировать” 1 или несколько приватных IP-адресов. Механизм NAT осуществляет подмену (“маскировку”) серых адресов на белые и наоборот. Благодаря этому вся частная сеть может подключаться к интернету через один публичный IP-адрес (или пул адресов), предоставленный провайдером. Ресурс глобальных адресов расходуется гораздо экономнее.
Преобразования NAT имеет важную особенность с точки зрения обеспечения безопасности: трансляция частных IP-адресов в публичные из пула маршрутизатора позволяет скрыть топологию внутренней сети от внешних пользователей, то есть затрудняет несанкционированный доступ к ресурсам сети.
Настроить правила SNAT
С помощью правил SNAT настраивается доступ виртуальных машин в интернет.
Перед настройкой правил NAT обязательно уточните внешний IP-адрес виртуального дата-центра. Убедитесь, что Firewall включен (Enabled) и настроен (Настройка Firewall) — без этого механизм NAT не будет работать.
-
Перейдите в раздел Networking на вкладку Edge Gateways.
-
Нажмите на нужный edge.
-
Нажмите кнопку Services.
-
Перейдите на вкладку NAT.
-
В правилах NAT есть два блока NAT44 Rules и NAT64 Rules. NAT44 означает использование ipv4, а NAT64 — ipv6. В настоящий момент поддержка IPv6 не реализована, и заполнять требуется только секцию NAT44.
-
Нажмите кнопку + SNAT Rule.
-
В открывшемся окне заполните поля:
- в поле Applied on выберите внешнюю сеть;
- в поле Original source IP/range укажите адрес для доступа в интернет определённой VM) или целую подсеть (для доступа всем VM в сети), например, 10.10.1.12 или 10.10.1.0/24;
- в поле Translated source IP/range укажите внешний адрес, назначенный для вашего edge-роутера. Можно указать вручную или нажать кнопку SELECT и выбрать из списка для внешней сети;
- Destination IP Address и Port — укажите any либо оставьте пустыми (по умолчанию проставляется any);
- Description — можно добавить описание правила;
- Enabled — включает данное правило;
- Enabled logging — включает ведение журнала для данного правила (регистрирует трансляцию адресов).
-
Нажмите кнопку Keep.
-
Сохраните изменения, нажав кнопку Save changes.
Настроить правила DNAT
DNAT — механизм, изменяющий адрес назначения пакета, а также порт назначения. Используется для перенаправления входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети. Правило DNAT настраивается, если нужно подключиться из интернета к ВМ по SSH, RDP или получить доступ к web-странице.
Для получения пакетов из интернета настройте правило DNAT:
-
Перейдите в раздел Networking на вкладку Edge Gateways.
-
Кликните на нужный edge.
-
Нажмите кнопку Services.
-
Перейдите на вкладку NAT.
-
В правилах NAT есть два блока NAT44 Rules и NAT64 Rules. NAT44 означает использование ipv4, а NAT64 — ipv6. Рекомендуется заполнять блок NAT44.
-
Нажмите кнопку + DNAT Rule.
-
В появившемся окне заполните поля:
- в поле Applied on выберите внешнюю сеть (как и в случае с SNAT, это не сеть уровня организации!);
- в поле Original IP/range укажите внешний адрес, назначенный для вашего Edge-роутера. Можно указать вручную или нажать кнопку SELECT и выбрать из списка для внешней сети;
- в поле Protocol — протокол;
- в поле Translated IP/range укажите адрес из локального диапазона, например, 10.10.1.12 (при использовании подсети 0.10.1.0/24);
- в поле Translated Port — порт во внутренней сети, в который будет выполняться NAT (для SSH и RDP лучше использовать порт, отличный от стандартного, например, 5222);
- Source IP Address и Port оставьте пустыми;
- Description — можно добавить описание правила;
- Enabled — включает данное правило;
- Enabled logging — включает ведение журнала для данного правила (регистрирует трансляцию адресов).
-
Нажмите кнопку Keep.
-
Сохраните изменения, нажав кнопку Save changes.